‘Ryuk-ransomware is van Russische makelij’

Onderzoekers van Crowdstrike, FireEye en McAfee Labs stellen dat de ransomware genaamd Ryuk van Russische makelij is. Eerder werd gedacht dat de ransomware door Noord-Koreanen ontwikkeld en ingezet was. Onder meer Silicon Angle schrijft over de bevindingen.

Ryuk werd vorige zomer ontdekt en wist toen in twee weken tijd 640.000 dollar buit te maken. Onderzoekers dachten toen dat de hackers verbonden waren aan Lazarus, een hackersgroep die actief is vanuit Noord-Korea. Onderzoekers stellen nu, ieder in eigen rapporten, dat dit niet het geval is. De ransomware zou door Russische hackers ingezet zijn.

Groter proces

De onderzoekers wijzen er onder meer op dat een aanval op verschillende grote Amerikaanse kranten in december vergelijkbaar was met tools waarvan bekend is dat ze gebruikt worden door Russische criminelen. McAfee stelt dat er eerder naar Noord-Korea werd gewezen omdat er gedeelde code leek te zijn met de oudere Hermes-ransomware, die in dat land gebruikt werd. Maar bij verder onderzoek bleek dat Hermes zelf uit Rusland komt. Noord-Koreaanse hackers kochten het waarschijnlijk op het dark web.

Een aantal van de rapporten stellen ook dat de infecties met Ryuk vaak geleverd werden als het laatste stadium van meerdere infecties. FireEye beschrijft deze als TEMP.MixMaster. Het proces begint met een infectie door de Emotet banking-malware, gevolgd door TrickBot. Ryuk volgt daarna pas.

Emotet was in oktober voor het laatst in het nieuws, toen een waterbedrijf in North Carolina zei het geïnfecteerd raakte door Emotet, voordat Ryuk hun netwerk gijzelde. Emotet komt uit Rusland.

Maanden wachten

De onderzoekers concludeerden verder dat de hackers vaak lang wachten met het installeren van Ryuk, soms zelfs wel een paar maanden. Nadat het systeem verkend is met remote desktop protocol-connecties, wachten hackers tot hun slachtoffers een lucratief genoeg doelwit zijn voor de ransomware.

De groepering die Ryuk ontwikkelde en inzette heeft naar schatting 2,48 miljoen dollar in bitcoins weten te verzamelen sinds Ryuk in augustus voor het eerst gebruikt werd.